Falsas chamadas de suporte informático no Microsoft Teams instalam o malware EtherRAT

Uma nova campanha de ataque está a usar chamadas de voz no Microsoft Teams para se fazer passar por equipas internas de suporte informático e convencer colaboradores a instalar o EtherRAT — um trojan de acesso remoto que entrega aos atacantes o controlo total do computador e um ponto de entrada na rede da organização. O esquema foi documentado pela Unit 42, a equipa de investigação de ameaças da Palo Alto Networks, num relatório publicado no final de junho.

Do inquérito aos colaboradores à chamada do falso “administrador”

O ataque desenrola-se em duas fases cuidadosamente encadeadas. Primeiro, a vítima recebe um email de phishing com o pretexto de um “inquérito aos colaboradores” e um PDF malicioso em anexo. Pouco depois de abrir o documento, chega a segunda fase: uma chamada de voz no Microsoft Teams, feita a partir de uma conta externa que se apresenta como “System Administrator”.

Os investigadores notam que a sessão de Teams exibia a etiqueta de utilizador externo não reconhecido — sinal de que quem ligava pertencia a um tenant Microsoft 365 diferente do da vítima. Os registos de auditoria mostraram que o atacante iniciou o contacto a partir de uma conta “helpdesk” criada num domínio onmicrosoft.com genérico, fazendo-se passar pelo suporte informático da empresa.

Ganha a confiança da vítima, o falso técnico pede-lhe que partilhe o ecrã e conceda controlo remoto através da funcionalidade nativa do próprio Teams. A partir daí, orienta a instalação de ferramentas legítimas de acesso remoto — nos casos observados, o HopToDesk e o AnyDesk — que passam a servir de porta de entrada permanente.

EtherRAT: um trojan que usa a blockchain do Ethereum

Com o acesso remoto estabelecido, os atacantes descarregam e executam um instalador MSI malicioso a partir de um domínio controlado por si. Este instalador funciona como carregador: descarrega uma versão legítima do runtime Node.js, decifra os componentes escondidos no pacote e lança o EtherRAT.

O EtherRAT é um trojan de acesso remoto multiplataforma escrito em Node.js, capaz de executar comandos, manipular ficheiros, roubar dados e manter persistência no sistema. A sua característica mais invulgar está na forma como localiza o servidor de comando e controlo: em vez de depender de um endereço fixo, consulta contratos inteligentes na blockchain do Ethereum para obter o endereço ativo — uma técnica que torna a infraestrutura muito mais difícil de derrubar, já que não há um domínio único para apreender ou bloquear.

Este malware não é novo: foi usado anteriormente em ataques atribuídos a grupos patrocinados por Estados, que exploravam a vulnerabilidade React2Shell, e foi entretanto adotado por vários outros grupos criminosos. A Unit 42 encontrou ainda um diretório aberto num servidor de distribuição com nove versões diferentes do instalador — indício claro de que a campanha está em desenvolvimento ativo.

O Teams tornou-se um canal de ataque preferencial

Esta operação insere-se numa tendência que se tem acentuado ao longo de 2026: o abuso do Microsoft Teams como via de entrada em redes empresariais. Em março, uma campanha contra organizações dos setores financeiro e da saúde combinou o bombardeamento de caixas de correio com spam e contactos via Teams de falsos técnicos de TI, levando as vítimas a abrir sessões de Quick Assist que culminavam na instalação de uma backdoor. Um mês depois, a própria Microsoft alertou para o crescimento dos ataques de personificação de helpdesk através de contas externas do Teams.

Em resposta, a Microsoft tem vindo a reforçar as proteções da plataforma: este ano introduziu avisos que identificam chamadas e conversas provenientes de contas externas, e na semana passada anunciou uma nova política de administração que coloca automaticamente bots suspeitos de terceiros na sala de espera das reuniões, até serem aprovados manualmente pelo organizador.

Porque é que isto importa em Portugal

O Microsoft Teams está profundamente enraizado no tecido empresarial português, das grandes organizações às PME, e a familiaridade com a ferramenta joga a favor dos atacantes: uma chamada recebida dentro do Teams transmite uma legitimidade que um email ou um telefonema tradicional já não têm. O elo explorado nesta campanha não é uma falha técnica da plataforma, mas a confiança dos colaboradores em quem diz ser do suporte informático — precisamente o tipo de engenharia social que os relatórios do CNCS identificam, ano após ano, entre as principais portas de entrada de incidentes registados pelo CERT.PT.

Para as entidades abrangidas pelo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2), este caso reforça a importância de políticas claras de comunicação interna: os colaboradores devem saber exatamente por que canais o verdadeiro suporte informático os contacta — e o que este nunca lhes pedirá.

Como reduzir o risco

  • Desconfie de chamadas no Teams identificadas como externas, mesmo que o interlocutor se apresente como suporte informático — o verdadeiro helpdesk da sua organização contacta-o a partir do tenant interno.
  • Nunca conceda controlo remoto do ecrã nem instale ferramentas de acesso remoto (AnyDesk, HopToDesk, Quick Assist) a pedido de alguém que o contactou primeiro.
  • Confirme qualquer pedido invulgar do “suporte informático” por um canal alternativo conhecido, como o número de telefone interno oficial.
  • Administradores: restrinjam ou monitorizem a comunicação com tenants externos no Teams, apliquem as novas políticas de proteção da Microsoft e bloqueiem a instalação de software de acesso remoto não aprovado.
  • Reportem incidentes suspeitos à equipa de segurança interna e, quando aplicável, ao CERT.PT.

Esta informação tem caráter noticioso e baseia-se no relatório publicado pela Unit 42 (Palo Alto Networks) e em dados divulgados publicamente pela Microsoft.